Tegen een 19-jarige man uit Den Haag, die persoonsgegevens uit het systeem van de GGD zou hebben gestolen en verhandeld, is vandaag een celstraf van acht maanden waarvan vier voorwaardelijk geëist. Begin 2021 maakte hij honderden foto’s van persoonsdossiers uit het systeem CoronIT waarin afgenomen coronatesten worden geregistreerd. Hij verspreidde deze via Telegram en Snapchat. Daarmee maakte hij zich schuldig aan computervredebreuk en datadiefstal.
Aanleiding voor het onderzoek was een melding van een journalist van RTL Nieuws op 22 januari 2021 dat er gehandeld zou worden in persoonsgegevens afkomstig van het computersysteem van de GGD. Dezelfde dag deed de GGD aangifte van computervredebreuk: gegevens uit CoronIT zouden zijn gestolen en misbruikt. Op 25 januari kwam RTL met het bericht naar buiten. Dit had grote gevolgen. Er werd gevreesd voor een dalende testbereidheid, wat gevolgen zou kunnen hebben voor de bestrijding van het coronavirus. Mensen waren verontrust, de GGD had de handen vol aan het beantwoorden van vragen. Er volgden Kamervragen en een debat met de minister.
Het cybercrimeteam van politie kreeg de verdachte al snel in beeld op basis van de logbestanden van de GGD. Toen de GGD meldde dat een van de medewerkers zich ziek had gemeld maar wel had ingelogd en honderden dossiers meermalen had bekeken, gaf de officier van justitie opdracht om de verdachte zo snel mogelijk aan te houden en beslag te leggen op zijn telefoon en laptop. Dit om verspreiding van de gegevens tegen te gaan. Uit het onderzoek naar deze laptop en telefoon bleek dat hij op 24 januari, een dag voordat RTL met het bericht naar buiten kwam, 146 foto’s van persoonsdossiers had gemaakt en verstuurd. Toen het ‘datalek’ bekend werd, stuurde hijzelf aan een contact van hem een link naar dit bericht en waarschuwde: ‘wees extra alert’. Kort daarna pakte hij de draad weer op. Tot aan zijn aanhouding op 12 februari maakte hij in totaal 795 foto’s van dossiers in het systeem van de GGD.
Over de gevolgen maakte de zich in de tussentijd niet druk. Waar hij ‘para’ van werd, zo is gebleken uit voicemailberichten, is dat hij twee minuten moest wachten tot de gegevens waren geladen. Hij gaf aan een plek te zoeken ‘met goeie wifi’ om ‘veel foto’s te kunnen pakken’ en ‘twee uurtjes vol op nummer te pompen’. Bij de politie deed hij dit af als stoerdoenerij. Hij was hiervoor door iemand benaderd en zou betaald krijgen voor gegevens van mensen met geboortejaar 1965 en ouder. Dat hij strafbaar handelde, wist hij. Hij had een training gevolgd en een geheimhoudingsverklaring getekend: informatie mocht hij zich niet toe-eigenen, bekendmaken of aan derden verstrekken.
De officier van justitie benadrukte hoezeer de verdachte door zijn handelen inbreuk heeft gemaakt op de privacy van mensen en het vertrouwen in de GGD en de overheid heeft geschaad. Winstbejag stelde hij boven de integriteit die van hem werd verwacht. “Verdachte wist dondersgoed dat hij strafbaar bezig was”, zei de officier, “en ik neem het hem kwalijk dat hij met zijn praktijken is doorgegaan nadat er landelijke commotie was ontstaan over de handel in gegevens uit systemen van de GGD”. Gelet op de jonge leeftijd van de verdachte maar ook het grote aantal dossiers dat hij heeft gestolen eiste de officier van justitie een gevangenisstraf van acht maanden waarvan de helft voorwaardelijk en een proeftijd van twee jaar. Als bijzondere voorwaarde moet reclassering toezicht op hem houden. Ook moet de winst van 795 euro, één euro voor elke foto die hij had doorgestuurd, van hem worden afgepakt.